フィッシング

「【お届け予定】ご注文商品の配送状況および受取方法の確認」Amazonを騙るフィッシングメールの注意喚起

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)

公開日: 2026年4月26日
分類: フィッシング(確定)
対象ブランド: Amazon(なりすまし)
証拠強度: moderate(複合根拠による確定判断)

2026年4月25日、Amazonの配送通知を装ったフィッシングメールが確認されました。本メールは、件名・本文にゼロ幅文字(不可視Unicode文字)を大量に注入してスパムフィルターの回避を図り、DKIM・DMARCの認証を通過させた上でAmazonブランドを詐称するという、複数の巧妙な手法を組み合わせたものです。本記事では、この詐欺メールの技術的な仕組みを証拠とともに解説し、注意喚起を行います。

メールの概要

項目 内容
件名 【お届け予定】ご注文商品の配送状況および受取方法の確認
※件名内にゼロ幅文字が埋め込まれています(後述)
差出人表示名 配送センター
差出人アドレス noreply[@]drufmokg[.]susiehume[.]com
Return-Path noreply[@]drufmokg[.]susiehume[.]com
送信日時 2026年4月25日 22:59:55 (JST)
送信元IP 154[.]231[.]60[.]212
メールSHA256 e3fda10c934b2bd96952b35b6e3838d2b980ef008525e689591f8041f95b73ae

メール本文(全文引用)

以下は受信者に表示される本文です。可視テキストのみを抽出しています。実際のHTMLソースには大量のゼロ幅文字が埋め込まれており、技術解析セクションで詳述します。

お客様、ご注文の商品について

ご注文いただいた商品は、2026年04月25日にお届けを予定しております。

現在、配送先および受取方法( “置き配” )の設定内容に不備がないか、配送状況の確認画面より再度ご確認をお願いいたします。

また、配送担当のドライバーより、お電話( [電話番号] )またはSMSにて、ご連絡させていただく場合がございます。

配送業者: Amazon

配送状況を確認する

※本メールは配信専用アドレスから送信されています。
※Amazonポイントの有効期限や、最新の注文履歴についてはカスタマーサービスにお問い合わせください。

kimnqNJk9a4f8S0yRjTU0hyBJQrl7zDZ0ffXC7VlhyfxqRyJIR020ezsJ2gLgJdn F3LtYxzxITWVFg8vYgM4SW4aqFGR7KLF7fynRnLuww6ZHtHkA4MzpKsirRgpS8oQ ZrQLnpIykVqF3AwHq4I0E8moIfqqfkMlKHs5XlYaVpaRyJztygKzWLzQxiR9UbhT

「配送状況を確認する」のリンク先は、Amazonの公式サイトではなく、後述する不正ドメインへの誘導URLです。また、末尾の英数字列は受信者を個別に識別するための追跡用トークンと考えられます。

技術解析

送信元ドメインの分析

【観測事実】 本メールのFrom(差出人)アドレスおよびReturn-Pathは、いずれも drufmokg[.]susiehume[.]com というドメインです。Amazonが一般に使用するドメインとして知られているのは amazon[.]co[.]jpamazon[.]com などであり、公式サイトでも確認できます。

【示唆】 「drufmokg」はランダム文字列のサブドメインであり、susiehume[.]com というドメイン自体もAmazonとの関連が確認できません。差出人表示名を「配送センター」と設定することで、受信者がドメイン名を確認せずに正規の配送通知と誤認することを狙った手法です。

【総合判断】 送信元ドメインがAmazonの公式ドメインと一致せず、ランダム文字列のサブドメインを使用している点は、フィッシング判断の主要根拠の一つです。

メール認証(SPF / DKIM / DMARC)の分析

各認証結果の概要

認証方式 結果 意味
SPF softfail 送信元IPが送信ドメインのSPFレコードで完全には認可されていない
DKIM pass メールの電子署名が送信ドメインの公開鍵で検証に成功
DMARC pass DKIMまたはSPFの少なくとも一方がFromドメインと整合

SPF softfail について

【観測事実】 SPF(Sender Policy Framework)の検証結果は softfail でした。これは、送信元IP(154[.]231[.]60[.]212)がドメイン drufmokg[.]susiehume[.]com のSPFレコードで完全に認可されていないことを意味します。

【示唆】 SPF softfailは、送信元インフラの管理が不完全であること、または意図的にゆるいポリシー(~all)を設定していることを示唆します。ただし、SPF softfail単独ではフィッシングの確定的証拠とはなりません。正規の配信サービスでもsoftfailとなることはあり得ます。

DKIM pass / DMARC pass の正しい理解

【観測事実】 DKIMとDMARCはいずれもpassしています。

【示唆 — ここが重要です】 DKIMのpassは「このメールが drufmokg[.]susiehume[.]com から送信されたこと」を証明しているだけであり、「Amazonからの正規メールであること」を一切証明していません。攻撃者は自身が管理するドメインに対してDKIMの署名鍵とDMARCポリシーを正しく設定し、メール認証を通過させています。

これはメール認証の重要な限界を示しています。SPF・DKIM・DMARCは「どのドメインから送られたか」を検証する仕組みであり、「メール内容が本物のブランドからのものか」を検証する仕組みではありません。認証がすべてpassしているメールでも、送信元ドメインが公式ドメインと異なれば、なりすましの可能性を疑うべきです。

SPF・DKIM・DMARCとは(一般向け解説)

SPFは、メールの送信元IPアドレスが、そのドメインの管理者が許可したサーバーからのものかを確認する仕組みです。「このドメインのメールを送ってよいサーバーはこれだけ」というリストと照合します。

DKIMは、メールに電子署名を付与し、途中で内容が改ざんされていないことを検証する仕組みです。送信ドメインの管理者が署名鍵を設定します。

DMARCは、SPFまたはDKIMの結果が、メールのFromアドレスのドメインと整合しているかを確認する上位の仕組みです。どちらか一方が整合(アライメント)していればpassとなります。

ゼロ幅文字(Zero-Width Character)の注入

【観測事実】 件名および本文のHTMLソースコードに、以下の4種類のゼロ幅Unicode文字が大量に挿入されていることが確認されました。

文字 Unicode 名称
(不可視) U+200B Zero Width Space(ゼロ幅スペース)
(不可視) U+200C Zero Width Non-Joiner(ゼロ幅非接合子)
(不可視) U+200D Zero Width Joiner(ゼロ幅接合子)
(不可視) U+FEFF Zero Width No-Break Space(ゼロ幅ノーブレークスペース / BOM)

例えば、件名のHTMLソースでは「お届け予定」という文字列の間に U+200DU+200BU+FEFFU+200C が挿入されています。本文中では、ほぼすべての漢字・カタカナの間にこれらの文字が埋め込まれており、「Amazon」という単語も A‍m‌a​z‍o​n のように1文字ずつ分断されています。

【示唆】 これらのゼロ幅文字は画面上には一切表示されないため、受信者が本文を読む際には何の違和感もありません。一方で、スパムフィルターがキーワードベースで「Amazon」「お届け」「配送」などの文字列をパターンマッチングする場合、ゼロ幅文字による分断によって検出を回避できる可能性があります。

【総合判断】 正規のAmazon配送通知にゼロ幅文字を大量挿入する理由はありません。これはフィルター回避を目的とした意図的な難読化手法であり、本メールがフィッシングであることを強く裏付ける証拠です。

誘導先URLの解析

【観測事実】 「配送状況を確認する」リンクの誘導先は以下のURLです。

このURLにアクセスすると、2段階のリダイレクト(2 hop)を経て、最終的に hxxps://www[.]b[.]com に到達しました。本解析時点では、最終到達先はエラーまたは停止状態でした。

【示唆】 Amazonの配送状況確認ページは、一般に amazon[.]co[.]jp ドメイン上で提供されていることが公式サイトで確認できます。yovintour[.]com はAmazonとは無関係のドメインです。URLパラメータ type=verify&key=lidhltsrcf は、受信者の識別や追跡に使用されるパラメータと考えられます。

リダイレクトチェーン(複数のサーバーを経由して最終目的地に転送する構成)は、フィッシングサイトにおいて一般的に見られるパターンです。URL検査サービスやセキュリティソフトによる検出を回避し、最終的な詐欺サイトの所在を隠蔽する目的で使用されます。

【総合判断】 非公式ドメインへの誘導、追跡パラメータの付与、多段リダイレクトの使用は、フィッシングの典型的なインフラ構成と一致しています。

末尾の追跡用文字列

【観測事実】 メール本文の末尾に、192文字の英数字ランダム文字列が記載されています。この文字列の中にもゼロ幅文字が挿入されています。

【示唆】 この文字列は受信者ごとに固有の追跡用トークンと考えられます。メールの開封確認や、どの受信者がリンクをクリックしたかの追跡に使用される可能性があります。正規の配送通知において、本文中にこのような長大なランダム文字列が可視表示されることは一般的ではありません。

フィッシング判定の総合根拠

本メールをフィッシング(確定)と判断した根拠は、以下の複数の証拠の組み合わせに基づきます。単一の根拠ではなく、複合的な評価です。

  1. 送信元ドメインの不一致(確認済み): From / Return-Path のドメイン drufmokg[.]susiehume[.]com は、Amazonの公式ドメインと一致しない
  2. SPF softfail(確認済み): 送信元IPが送信ドメインで完全に認可されていない
  3. ゼロ幅文字の大量注入(確認済み): 件名・本文全体にわたり、フィルター回避を目的とした不可視文字が挿入されている
  4. 誘導先URLの不一致(確認済み): リンク先がAmazon公式ドメインではなく、yovintour[.]com という無関係のドメインであり、多段リダイレクトを使用
  5. Amazonブランドの詐称(確認済み): 差出人表示名「配送センター」、本文中の「配送業者:Amazon」等、Amazonの配送通知に見せかけた文面

IOC(侵害指標)一覧

種別 備考
差出人ドメイン drufmokg[.]susiehume[.]com From / Return-Path
送信元IP 154[.]231[.]60[.]212 メール送信サーバー
誘導先URL hxxps://yovintour[.]com/?type=verify&key=lidhltsrcf 2段階リダイレクト
誘導先ドメイン yovintour[.]com フィッシングサイトの入口
最終リダイレクト先 hxxps://www[.]b[.]com 解析時点で停止/エラー
メールSHA256 e3fda10c934b2bd96952b35b6e3838d2b980ef008525e689591f8041f95b73ae メールファイルのハッシュ値

PhishTank登録状況

誘導先URL hxxps://yovintour[.]com/?type=verify&key=lidhltsrcf は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処法

リンクをクリックしていない場合

  • メールを開いただけでは、通常、被害は発生しません。メールを削除してください。
  • 「配送状況の確認」が必要な場合は、メール内のリンクは使わず、ブラウザのアドレスバーにAmazonの公式URL(一般に amazon[.]co[.]jp として知られています)を直接入力するか、公式アプリからアクセスしてください。

リンクをクリックしてしまった場合

  • リダイレクト先でログイン情報(メールアドレス・パスワード)を入力した場合は、直ちにAmazon公式サイトからパスワードを変更してください。同じパスワードを他のサービスで使い回している場合は、それらのサービスでも変更が必要です。
  • クレジットカード情報を入力した場合は、カード会社に連絡し、不正利用の監視やカード再発行を依頼してください。
  • 個人情報(住所・電話番号等)を入力した場合は、不審な連絡に注意してください。

このタイプのフィッシングを見分けるポイント

  • 差出人のメールアドレスを確認する: 表示名が「配送センター」でも、メールアドレスのドメイン部分(@以降)がAmazonの公式ドメインかどうかを確認してください。本件では @drufmokg[.]susiehume[.]com という、明らかにAmazonとは無関係のドメインから送信されています。
  • リンク先URLを確認する: リンクをクリックする前に、リンクにマウスカーソルを合わせる(スマートフォンでは長押し)ことで、実際の遷移先URLを確認できます。Amazon公式以外のドメインであれば詐欺の可能性があります。
  • DKIM/DMARC passを過信しない: 本件のように、攻撃者が自前のドメインに認証を正しく設定し、メール認証をすべて通過させるケースがあります。「認証済みだから安全」という判断は危険です。ドメイン自体が正規のものかを必ず確認してください。
  • 心当たりのない配送通知に注意: 商品を注文した覚えがない場合、メール内のリンクからではなく、必ず公式サイトやアプリで注文履歴を確認してください。
  • テキスト選択で不自然さを確認: ゼロ幅文字が挿入されたメールは、テキストをコピー&ペーストすると余計な文字が混入し、検索やペーストが正常に動作しないことがあります。テキストを選択・コピーした際に不自然な挙動があれば、フィッシングの手がかりとなります。

通報先

  • フィッシング対策協議会: 報告フォームよりフィッシングメールの情報提供が可能です
  • Amazon公式: Amazonアカウントサービス内の「不審なメールを報告」機能から通報できます
  • 警察庁 サイバー犯罪相談窓口: 金銭被害が発生した場合は最寄りの警察署に相談してください
検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
yovintour.com 入口URL 停止/エラー メール本文
www[.]b[.]com 最終遷移先 停止/エラー リダイレクト追跡

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,